Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/7/2003
En ny trojansk hest får inficerede pc'er til at fungere som bindeled til pornoservere. Ofrene bliver også misbrugt til videresendelse af spam.Den trojanske hest er et program, som sikkerhedsfirmaet Lurhq har givet navnet Migmaf. Når programmet er installeret på en pc, registreres pc'ens IP-adresse i DNS-systemet under navnet på et porno-web-sted. Datapakker til porno-stedet bliver derfor sendt til pc'en, hvorfra de sendes videre til den egentlige porno-web-server.
Derved kan bagmændene holde deres servers adresse skjult. Det kan være nyttigt, hvis porno-web-stedet i virkeligheden er et forsøg på at franarre folk deres kreditkortnumre.
Den trojanske hest giver også bagmændene mulighed for at udsende spam (uopfordrede reklame-e-mails), idet den fungerer som en proxy-server, der lytter på port 81.
Ifølge en analyse lavet af Joe Stewart fra Lurhq indeholder den trojanske hest ingen metode til at sprede sig. Det er muligt, at den er blevet spredt via en e-post-baseret orm i stil med Sobig. En anden mulighed er, at den er spredt via et chat-program. Den teori underbygges af, at mange af de inficerede computere ejes af kunder hos America Online, der har et stort chat-net.
Migmaf skjuler i øvrigt adressen på bagmændenes web-server. Når den vil kommunikere med den, sender den samtidig sine pakker til mange forskellige adresser, hvoraf kun en er den rigtige.
Programmet undersøger, om det kører på en pc med russisk tastatur. Hvis det er tilfældet, afsluttes den trojanske hest uden videre. Det kan være et tegn på, at der står russere bag Migmaf, men det kan også være et falsk spor, skriver Joe Stewart.
Ifølge nyhedstjenesten The Register er godt 2.000 pc'er ramt af Migmaf.